DFIR — методы реагирования на инциденты

Иллюстрация: behance.net

Процесс DFIR заключается в фиксации, расследовании и предупреждении событий, отражающихся на ИБ, и характеризуется четкой структурой, включающей в себя последовательные этапы:

Подготовка

1. Формирование алгоритма реагирования. 
2. Распределение обязанностей в команде ИБ-специалистов. 
3. Назначение ответственных лиц. 
4. Подбор и настройка мониторинговых инструментов, обновление защитных систем. 

Фиксация

1. Эксплуатация IDS/IPS. 
2. Отслеживание сетевого трафика. 
3. Сбор логов. 
4. Использование прочих систем. 

Локализация

1. Остановка инцидента. 
2. Сокращение потенциального ущерба. 

Расследование

1. Выявление причин угрозы. 
2. Фиксация типа и объема ущерба. 
3. Систематизация и анализ собранной информации. 

Восстановление

1. Устранение уязвимостей. 
2. Возобновление операционных процессов. 
3. Составление отчетности. 
4. Формирование рекомендаций, направленных на минимизации возможности возникновения аналогичного инцидента.

Подготовка, включающая в себя разработку плана реагирования IRP, считается важнейшим этапом. Для повышения эффективности подготовительных мероприятий рекомендуется:

• разработать и систематически актуализировать регламент ИБ компании. 
• Регулярно проверять системы на наличие ошибок. 
• Постоянно повышать уровень ИБ-грамотности персонала. 

Действенный IRP закрывает ключевые вопросы, а именно способа обнаружения и идентификации инцидента, методов сокращения ущерба, ликвидации последствий, противодействия аналогичным инцидентам и ведения отчетности. Чем конкретнее освещены материалы, тем проще будет работать с IRP. 

Цель этапа фиксации заключается в поиске источника опасности или уязвимости, которая была эксплуатирована. Чаще всего для обнаружения угроз используются решения, ориентированные на мониторинг вторжений (IDS), управление событиями (SIEM) и предотвращение нападений (IPS). Идентификация инцидентов затруднительна без постоянного сбора информации о возникающих аномалиях, актуализации и тестирования защитного ПО, а также слаженной работы соответствующих специалистов.

Суть локализации сводится к обретению контроля над ситуацией и снижении рисков, соответственно, ущерба. В числе наиболее действенных решений значатся отключения системы или ее функциональной части, коррекция правил файрвола или изоляция.

Рекомендуется наладить системы межсетевых экранов, обеспечить оперативную связь с ответственными лицами, задействовать инструменты управления доступом, чтобы ускорить изоляцию поврежденных отделов.

За локализацией атаки следует ее анализ, включающий сбор логов, трафика, образов памяти. Все этапы расследования подлежат документированию. В процессе оценки событий и действий, связанных с инцидентом, следует использовать специализированные легитимные решения. Чаще всего применяются:

• ExifTool – для исследования метаданных.
• Wireshark и Scapy – для сетевого трафика.
• Recuva и TestDisk – для восстановления файлов. 
• Volatility – для образов памяти и извлечения данных о процессах, соединениях, загрузках и т.д. 

Для ускорения восстановления рекомендуется обновлять копии критически важной информации, устранять уязвимости и тестировать инструменты. Восстановление считается завершенным, когда система вернулась в полноценный рабочий режим.

Предупреждению новых инцидентов способствует ведение документации и журнала инцидентов. Все выводы и действия стоит обсудить с лицами, в чьей зоне ответственности находится ИБ компании. Своевременное реагирование, наличие четкого плана действий, использование современных методик и постоянное повышение квалификации сотрудников минимизируют потенциальный ущерб.